Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Построение сети, UniFi Network
 
#1
29.06.2017 05:09:00
Привет! У меня есть очень конкретная задача. Хочу создать сеть с моими 8 устройствами Sonos, 3 ресиверами Entertain и 3 ПК. Например: 8 устройств Sonos с IP в диапазоне 192.168.4.x, 3 ресивера Entertain с IP 10.3.4.x и 3 ПК с IP 71.5.7.x. Все они должны иметь доступ в интернет. Какие устройства мне нужны, чтобы это реализовать? Unifi ac ap pro для Wi-Fi у меня уже есть. Вообще не понимаю, как это сделать. Было бы здорово, если бы вы могли дать пару советов. Заранее спасибо!
 
 
 
#2
13.08.2018 18:42:00
Что мне ещё не хватает, так это разрешения имён через VLAN и VPN (Site-to-Site). Чтобы, например, из VLAN1 достучаться до сервера или клиента в VLAN2 по имени (hostname.suffix). Как вы это обычно решаете?
 
 
 
#3
16.05.2018 07:01:00
Это также было бы моим желанием...
 
 
 
#4
14.02.2018 07:07:00
Всем привет! Есть тут похожая проблема:  
Сеть 1: Основная сеть (WLAN и LAN)  
Сеть 2: Гостевая сеть (WLAN)  
Сеть 3: Вторая сеть для другого пользователя (свой IP-диапазон, своё VLAN)  

В идеале все три сети должны быть полностью автономными. Но при этом я могу из сети 3, введя прямой IP-адрес, получить доступ к устройствам из сети 1 (из гостевой сети 2 так не получается).  

Как это можно запретить? По идее, такого не должно быть, верно?  

При этом принтер из сети 1 должен быть доступен и для сети 3. Это должно работать через «гостевой контроль», «доступ до авторизации», правильно?  

Надеюсь на простое и грамотное решение ;-)
 
 
 
#5
17.01.2018 22:44:00
Допустим, одним из VLAN будет Management LAN, о котором говорили @Luxtra и @deetee. Как выглядят те правила, с помощью которых ты изолировал сеть? Если сетевые устройства находятся в отдельном VLAN, то они ведь по умолчанию уже изолированы, или я что-то путаю из обсуждений про VLAN и их взаимную (не)доступность? Не нужны ли тогда правила, чтобы ты мог администрировать всё это с клиентов из другого VLAN?

Что касается DHCP, ты в каком-то смысле прав — особенно если это чистая Unifi-система, тогда конфигурация не усложняется, потому что всё можно управлять из одного интерфейса. Но ещё не ясно, будет ли у меня чистый Unifi, потому что возможности использовать USG как внутренний DNS для разрешения имён устройств пока довольно ограничены — поэтому, возможно, я возьму OPNSense для DNS/DHCP/VPN и так далее. Тут уже вопрос, что удобнее — фиксировать IP для сетевых устройств или назначать через DHCP. Посмотрим, как будет на деле :-)

Пока спасибо!
 
 
 
#6
17.01.2018 22:27:00
Разделение через VLAN, по моему мнению, это стандартный способ организации управляющей сети. Главное — правильно настроить правила фаервола для изоляции. Зачем блокировать резервации и выдачу по DHCP? Ручное назначение и отсутствие DHCP, скорее всего, потребуют меньше усилий. Конечно, можно и смешивать: например, разрешить выдачу всего пяти адресов из диапазона.
 
 
 
#7
17.01.2018 20:36:00
В чём разница между Mgmt LAN и обычным VLAN, в который помещают устройства сетевой инфраструктуры? Не хватило бы DHCP со статическими записями, если бы была возможность запретить выдачу дополнительных IP через DHCP? Как-то это можно сделать? Спасибо, с уважением.
 
 
 
#8
13.01.2018 21:54:00
Всем привет,

@deetee

Да, если делать всё очень правильно, то для устройств используют mgmt-сеть. IP-адреса должны быть назначены вручную (то есть без DHCP). Так появляется ещё один дополнительный барьер, чтобы ограничить доступ к самим устройствам (из корпоративной сети).

CK, конечно, должен оставаться доступен, но его нужно автоматически включать в правила и сети.

Хотя сам я пока ещё не делал разделение на mgmt-сеть.

Всего хорошего!
 
 
 
#9
31.12.2017 18:16:00
Можно сделать, для меня достаточно простой и чёткой разделения.
 
 
 
#10
31.12.2017 14:36:00
Хорошо. А почему эти вещи не в VLAN для управления? Разве так не делают? Я думал, что их туда и помещают?!
 
 
 
#11
31.12.2017 09:59:00
Вот так и есть...
 
 
 
#12
31.12.2017 09:57:00
Окей, спасибо. Значит, твой USG тоже в группе по умолчанию, и тогда он не отмечен тегом. Правильно?
 
 
 
#13
31.12.2017 09:48:00
Я решил это так:  
10.0.0.1 — все устройства для сетевой инфраструктуры (группа default)  
10.0.1.1 (VLAN 10) — все компьютеры, iPad, смартфоны и принтеры (то есть офис) (группа Privat)  
10.0.2.1 (VLAN 20) — IP-телефония (группа Privat)  
10.0.3.1 (VLAN 30) — родственники со стороны супруги (группа Eltern)  
10.0.4.1 (VLAN 40) — Entertain (группа Privat)  
10.0.5.1 (VLAN 50) — гости (группа Gäste)  
10.0.6.1 (VLAN 60) — сервер (группа Privat)  

Только нужно учитывать, что для каждой группы пользователей можно создать не более 4 WLAN. У меня, например, VLAN 20, 40 и 60 уже не подходят под это ограничение.  

Чтобы сделать отдельные устройства, например NAS, доступными для настройки, есть инструкция по специальным правилам фаервола.
 
 
 
#14
31.12.2017 09:15:00
Да, именно так, неплохо. Но, как я уже сказал, меня в первую очередь интересует Mgmt. LAN и какие устройства туда должны быть подключены, а также где вообще лучше разместить USG.
 
 
 
#15
31.12.2017 09:03:00
Привет! Про «Management-Netzwerk» я тоже уже читал, но ещё не пробовал. У меня в сети находятся офисные и «родительские» устройства, а также все компоненты Unifi: xxx.xxx.100.xxx. Дети в 110, гости в 120, мультимедиа в 130. Пока работает без нареканий.
 
 
 
#16
31.12.2017 08:42:00
Привет всем,  
Рад, что здесь есть такой активный немецкий раздел.  
Хотел бы поднять тему этой ветки, которая обсуждалась чуть раньше.  

Моя конфигурация похожа. У меня есть USG, UCK, 2 AP AC Pro, 2 коммутатора.  
Также запланированы разные VLAN:  
VLAN 50 = гость (гостевая сеть)  
VLAN 10 = приватная сеть  
VLAN 20 = IoT сеть  

Но вот в чём моя путаница...  
В какую сеть нужно поместить Cloud Key, коммутаторы, AP и USG?  
Я понял так, что нужно создать отдельную управляющую сеть (Mgmt LAN) и назначить ей VLAN.  
Например, Mgmt LAN = VLAN30.  

Но где именно тогда должны находиться USG и Cloud Key? Тоже оба в управляющей сети?
 
 
 
#17
27.09.2017 22:01:00
К сожалению, не сработало. Думал ещё, что мне нужно разрешить доступ не только с VPN-сети к LAN-сети, но и в обратную сторону. Поэтому сделал две настройки в фаерволе. Когда это не помогло, создал ещё статический маршрут с VPN-сети до LAN-сети. Но тоже без результата. Завтра попробую что-то другое.
 
 
 
#18
28.09.2017 20:06:00
Всегда пожалуйста... Хорошо, что теперь все получилось.
 
 
 
#19
28.09.2017 19:44:00
Большое спасибо. Сейчас ещё раз всё тщательно проверил по твоим фотографиям, удалил правила фаервола и маршрут. При прохождении каждого шага нашёл первую ошибку — в профиле пользователя Radius-сервера забыл заполнить две нижние строки (Tunnel-Typ и Tunnel-Medium-Typ). Ещё раз пытался подключиться — всё равно не вышло. Тогда я снова взялся за свой NAS, проверил права доступа и, о чудо, нашёл вторую ошибку. Поскольку я заполнял всё согласно твоим снимкам, то IP-адреса, которым разрешён доступ, не совсем подходили. Поэтому в VPN-сети указал для себя правильный IP-диапазон — и всё заработало! Ещё раз огромное спасибо вам обоим за помощь. Вы очень помогли мне в понимании Unifi USG.
 
 
 
#20
28.09.2017 09:41:00
Возможны только 5 вложений...
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)